Categoria: Segurança

Categorias
Carteira Digital Data Breach Empreendorismo Fraude Meios de Pagamento Mobile Payments Moeda Virtual Segurança Startups

Microchip Party

AA

Ainda me lembro que em 2014 um reporter me pediu para reportar algo inovador que havia revelado no meu livro, para que ele pudesse fazer uma matéria. Quando lhe falei sobre a implantação de microchips debaixo da pele, para auxiliar nas tarefas do dia a dia, ele acho muito bizarro e não quis publicar :).

No próximo dia 1/08/2017, uma empresa de Wisconsin – USA, realizará a “Microchip Party”, onde 50 funcionários voluntários irão implantar um microchip RFID, debaixo da pela das mãos. A Three Square Market produz e comercializa micro mercados, self-service, para salas de escritórios.

Todd Westby, CEO da Three Square Market, diz: “Prevemos o uso da tecnologia RFID para ser utilizado em quase tudo, desde fazer compras em nossa cantina, abertura de portas, uso de copiadoras, acesso aos nossos computadores e sistemas, desbloqueio de telefones, compartilhamento Cartões de visita, armazenamento de informações médicas / de saúde e usado como pagamento em outros terminais RFID.”

“Eventualmente, esta tecnologia se tornará padronizada, permitindo que você a use como seu passaporte, transporte público, todas as oportunidades de compra, etc.”, o diretor executivo Todd Westby escreveu em um blog, anunciando o programa.

O programa também é uma oportunidade real para a empresa de Westby testar e expandir a tecnologia para seus próprios produtos. “Nós vemos isso como outra opção de pagamento e identificação que não só pode ser usada em nossos mercados, mas também em nossas outras aplicações de auto-atendimento que estamos implantando, que incluem lojas de conveniência e centros de fitness”, disse outro executivo da empresa.

O Three Square Market afirma que será a primeira empresa nos Estados Unidos a implantar chips em seus funcionários. assista a entrevista do Todd Westby na CNBC.

Em Janeiro de 2017, publicamos neste blog uma matéria mostrando como a tecnologia funciona, veja em  “I’ve got you under my skin”

 

Categorias
Data Breach Fraude Google Pay Meios de Pagamento Segurança Serviços Financeiros

BankBot trojan no Google Play

pirata3

O InterContinental Hotel Group afirmou ter encontrado malwares projetados para roubar detalhes do cartão de pagamento em cerca de 1200 de seus hotéis de franquias nos EUA. Essa é uma péssima notícias, mas a novidade que me deixou assustado hoje foi outra: Cyber criminosos encontraram uma maneira de burlar a segurança do Google e instalaram APP no Google Play infectados com o trojan BankBot.

Como o trojan funciona?

BankBot funciona mostrando uma janela de login falsa em cima do aplicativo bancário legítimo, instalado no dispositivo de um usuário. Em suma, BankBot pode ser usado para roubar credenciais de login para aplicativos bancários. Também pode ser usado para roubar detalhes de login para outros aplicativos, incluindo Facebook, YouTube, WhatsApp, Snapchat, Instagram, Twitter e até mesmo a Google Play Store.

A empresa de segurança holandesa Securify postou uma lista de 424 aplicativos bancários legítimos para os quais as versões do BankBot detectadas recentemente foram codificadas para segmentar. A lista inclui aplicações para bancos como Santander, ING, Erste, Volksbank, ING, Eurobank, ABN AMRO, Garanti, HSBC, BNP Paribas e assim por diante. A lista completa pode ser verificada em  Pastebin.

BankBot Android Trojan foi descoberto pela primeira vez em janeiro de 2017 (veja relato de Doug Olenick em BankBot created with leaked banking trojan source code), logo após um exemplo de código-fonte do Android Trojan bancário foi publicado em fóruns na “dark web”. Esses códigos-fonte captam rapidamente a atenção dos criminosos, pois  podem ser rapidamente editadas e transformadas em um vírus personalizado. Pouco depois da publicação do código fonte, criminosos criaram o BankBot Trojan, que conseguiu enganar o scanner de segurança do Google e entrar no Google Play Store. Em abril, os pesquisadores já sabiam sobre três campanhas associadas a este vírus e, consequentemente, as aplicações mal-intencionadas foram retiradas da loja

No entanto, cyber criminosos não pararam neste momento e substituíram essas aplicações por novas. A Securify detectou duas novas campanhas BankBot que conseguiram escapar das verificações de segurança da Google Play Store. Um dos aplicativos mal-intencionados que continham o Trojan bancário era chamado de HappyTime Videos 2017, e já foi retirado. Como explica Niels Croese da Securify: “Aparentemente, o aplicativo foi atualizado recentemente (8 de abril de 2017) e provavelmente foi quando o malware foi adicionado. Comuniquei o aplicativo por meio de seu sistema de relatórios, mas no momento em que escrevo ele ainda está disponível no Google Play. Como você pode ver, parece ter instalações de 1k a 5k, o que não é muito para um aplicativo normal, mas muito para malware (pelo menos em comparação com as contagens de instalação que vimos até agora em outros malwares de banca móvel).”  Veja o post em: Banking malware in Google Play targeting many new apps.

A nova versão do Trojan também é capaz de bloquear o dispositivo da mesma forma que o ransomware faz, ou controlar e escanear as mensagens de entrada para ler com êxito os códigos de verificação enviados pelo banco (para ignorar a verificação em duas etapas procedimento). Ele pode basicamente roubar login e senhas usadas para qualquer aplicativo no telefone, incluindo Facebook, Instagram, Twitter, Snapchat e outros.

Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.

Claramente os criadores de malware encontraram uma maneira de enganar o serviço de segurança do Google e agora os engenheiros da empresa estão tentando encontrar uma maneira de resolver este programa e detectar aplicações que contêm este cavalo de Tróia de forma mais eficiente.

Até agora, parece que os usuários do Android não tem muita sorte quando se trata de segurança – há muitos casos a mencionar a respeito de malware na Play Store oficial. A loja já estava comprometida por adware, trojans, como HummingWhaleSvpeng ou mesmo ransomware. Veja o post do Oren Koriat sob o título A Whale of a Tale: HummingBad Returns, no blog Check Point.

Se quiser evitar a instalação de malware é necessário aprender a identificar aplicativos críticos e não deixar falsos comentários e classificações nos enganar em instalá-los!

Categorias
Data Breach Fraude Meios de Pagamento Segurança Serviços Financeiros

Mas bah, tchê! Que barbaridade

Cybercrime

Quase todos os dias recebemos informações de um novo “data breach” (violação de dados). Hoje foi o dia de saber que Wonga, uma FinTech Inglesa de empréstimos contra folha de pagamento (Payday Loan), teve seus sistemas invadidos na semana passada, expondo os dados de 270 mil clientes.

De acordo com a Finextra, o porta-voz da empresa disse ao site de notícias TechCrunch que “a Wonga está investigando urgentemente o acesso ilegal e não autorizado aos dados pessoais de alguns de seus clientes no Reino Unido e na Polônia. Estamos trabalhando em estreita colaboração com as autoridades e estamos no processo de informar os clientes afetados. Pedimos sinceras desculpas pelo inconveniente causado”.

São tantos os casos que, para muitos de nós, se trata de rotina. Entretanto, o que ocorreu com um banco brasileiro no dia 22 de outubro de 2016 é assustador. Embora não confirmado oficialmente, tudo indica de que se trata do banco Banrisul.

No dia 4 de abril, o site Wired publicou matéria de Andy Greenberg, sob o título: How Hackers Hijacked a Bank’s Entire Online Operation, descrevendo o ataque detectado pela empresa de segurança digital Kaspersky, cujo caso foi apresentado em seu congresso anual na semana passada.

A matéria de Natalia Viri, no site Brazil Journal, sob o título: “Hackers montam ataque ‘sem precedentes’ a banco brasileiro”, revela os detalhes de como a fraude ocorreu.

O assunto é assustador! Bestuzhev, da Kaspersky, disse à WIRED que “absolutamente todas as operações online do banco ficaram sob o controle dos hackers por cinco a seis horas.” Num ataque assim, do ponto de vista do hacker, “você se torna o banco. Tudo pertence a você.”

Em outra matéria publicada pela Wired em 04/04/2017, Alex Bennett estima que o custo global do crime cibernético (Cybercrime)  chegue a 4,9 trilhões de Libras por ano em 2021(cerca de US$ 6 trilhões) e, informa também que dois terços das grandes empresas do Reino Unido foram alvos de cibercriminosos em 2016.

Sua empresa investe em CyberSecurity? Que competências devemos adquirir para combater fraudes? As do passado não serve mais, concorda? Imagine o que as novas tecnologias podem gerar de oportunidades para os cibercriminosos, como por exemplo, Internet das Coisas (IoT) e carros autônomos (self-drive cars).

Tecnologias com Inteligência Artificial (IA), já estão sendo utilizadas para descobrir  brechas e falhas sistêmicas, numa tentativa de prevenis antes de sofrer um ataque. Entretanto, os criminosos também tem acesso às mesmas tecnologias e as utilizam, as vezes com mais eficiência.

Categorias
Bitcoin Carteira Digital Meios de Pagamento Moeda Virtual Segurança Serviços Financeiros Startups

Bitcoin Blockchain – Hard Fork

Blockchainfork 3

Hard Fork se traduz como uma bifurcação, em outras palavras, em algum momento Bitcoin pode se dividir em duas, uma denominada Bitcoin Unlimited – BTU e a a conhecida Bitcoin Core – BTC. Qual sobrevive como Bitcoin? e qual se torna uma Altcoin (moeda alternativa) ou simplesmente desaparece?

Trata-se de um assunto complexo e muito técnico, mas nosso objetivo é lhe mostrar, com certa simplicidade, qual a discussão e o que está em jogo, com a colaboração de Rafael Câmera Santos.

Há algum tempo, players ligados a Bitcoin estão discutindo sobre a capacidade de processamento de transações com Bitcoins. Todos concordam que a eficiência deve ser melhorada, mas discordam na forma. De que eficiência estamos falando?

Cabe ao minerados registrar no blockchain as novas transações de compra e venda de Bitcoins, isto é feito cada vez que ele consegue resolver uma questão matemática e gera um novo bloco (mineração). A cada bloco gerado o minerador recebe 12,5 Bitcoins como prêmio. Um novo bloco é gerado a cada 10 minutos, em média.

A cada novo bloco minerado se adiciona o registro das transações com Bitcoins (transferência de um endereço para outro), entretanto o tamanho do bloco é limitado a 1 megabyte, como resultado, cerca de 14 transações são registradas por segundo. Com o aumento do volume de transações com Bitcoin, há hoje um grande backlog de transações para serem registradas no blockchain.

Isto gerou uma concorrência para o registro de transações, resultando em pagamento de fees para ganhar prioridade. Esses fees chegam até US$2,00 por transação, o que inviabilizaria registros de transações de pequena monta.

Na criação do Bitcoin, Satoshi Nakamoto explica que a limitação de 1MB no tamanho do bloco tinha por objetivo proteger a blockchain contra spam. Afinal, sem um limite, alguém pode usar a blockchain para armazenar e transmitir outras informações ou dados fora bitcoin, como Satoshi fez no primeiro bloco gerado, ele escreveu “The Times 03/Jan/2009 Chancellor on brink of second bailout for banks” (https://en.bitcoin.it/wiki/Genesis_block).

Um grupo de desenvolvedores do software Bitcoin (software padrão da tecnologia) desenhou uma proposta para aumentar a capacidade do bloco, chamada Bitcoin Unlimited. Entretanto, grande parte dos desenvolvedores que suportam Bitcoin Core, embora aceitem a ideia de aumentar a capacidade de processamento, não aceitam a alternativa que gera um “Hard Fork”, eles defendem uma solução chamada “Segregated Witness” (Testemunha segregada, em tradução livre), também conhecida como SegWit.

Esta atualização redesenha o processo de verificação das transações no blockchain, tornando-o mais eficiente. A mudança no protocolo remove a assinatura digital contida em cada transação de bitcoin e a coloca ao lado da blockchain. Ao diminuir o tamanho da transação, mais transações caberão em cada bloco, aumentando o número de transações processadas por segundo na rede Bitcoin. As estimativas de quanto espaço será economizado em cada bloco após a entrada do SegWit variam de 75% a 400%. Com isso, espera-se que o problema de escalabilidade da tecnologia seja aliviado.

Os arquivos de assinatura que forem separados das transações poderão, no final do processo, ser descartados, liberando espaço de armazenamento no disco rígido. A importância das assinaturas se dá exclusivamente na verificação do bloco. Quanto mais antigo é o bloco, menor a chance de ele precisar ser verificado novamente.

A implementação do SegWit não será feita de forma instantânea, embora existe um forte consenso por trás da proposta. O problema para implantação do SegWit é o fato de que para ser adotada, essa versão precisará da adesão de 95% da rede de mineradores. Somente quando esse percentual fizer a atualização é que poderemos ver os ganhos de eficiência se propagarem através de toda rede.

Os que defendem SigWit acreditam não existir uma razão para a maioria dos mineradores se opor à atualização, uma vez que ele não apresenta qualquer risco ao Bitcoin e à possibilidade de alguém perder dinheiro com a sua implementação.

O código do Bitcoin é público para qualquer pessoa ler ou copiar (‘fork’) para seu próprio projeto. Como tal, é possível para diferentes versões do Bitcoin para executar lado a lado na rede.

O Bitcoin Unlimited difere do Bitcoin Core porque o parâmetro de tamanho do bloco não é codificado de forma rígida – os nodes e os mineradores suportam o tamanho desejado. Então, ele depende de uma idéia chamada “consenso emergente”, definida pelos defensores de Bitcoin Unlimited assim:

“Um consenso emergente surgirá com base na economia de livre mercado, à medida que os nodes e mineradores convergem em pontos focais de consenso, criando no processo uma entidade viva e respiratória que responde de modo livre e descentralizado às condições do mundo real”.

No caso do tamanho do bloco, a idéia é que através do mercado livre, os mineradores chegarão a um acordo sobre um tamanho de bloco. No entanto, os usuários podem “votar” em outros parâmetros também.

Dependendo de quem você perguntar, Bitcoin Unlimited é o futuro do Bitcoin ou uma implementação quebrada do software.

Para resumir um debate reconhecidamente complexo, cada lado quer aumentar a capacidade da rede, mas querem fazê-lo por métodos diferentes. Hoje, executar ou suportar o Bitcoin Unlimited é basicamente sinônimo de desejar um ajuste ao parâmetro de tamanho de bloco do Bitcoin, definido em 1MB hoje.

Entre a comunidade técnica, há muitos que sentem que o Bitcoin Unlimited pode não ser um substituto seguro para o Bitcoin Core. Alguns desenvolvedores argumentam que a abordagem não funciona em nível técnico. Uma das razões é que o software entrega aos mineradores muito controle sobre as decisões do protocolo. Outro, é que muitos desenvolvedores pensam que ‘consenso emergente’, na prática, levaria a “hard fork” da blockchain (a criação de versões diferentes e concorrentes da rede).

O “Hard Fork” (bifurcação) acontece quando mineradores geram blocos com tamanho superior a 1MB, que não podem ser reconhecidos na blockchain Biticoin Core, criando assim uma outra blockchain, neste caso Bitcoin Unlimited. Essa bifurcação, significa que depois que ela ocorrer, os usuários de Bitcoin teriam duas carteiras, uma em cada blockchain, com os mesmos endereços. Logo, se um usuário fizer uma transferência em uma blockchain, algum atacante malicioso poderia copiar a informação da transação e realizar a mesma na outra blockchain, pois a assinatura e outros detalhes seriam o mesmo. Isso chama-se de Replay Attack

Na semana passada, um bug no código do sotware pôs em cheque a capacidade técnica dos desenvolvedores da Bitcoin Unlimeted, quando quase 70% dos nodes que executam o Bitcoin Unlimited ficaram fora do ar.

O bug abriu uma vulnerabilidade através da qual um determinado tipo de mensagem enviada para os nodes poderia fazer com que eles fossem colocados off-line. Os nodes são responsáveis por validar as transações em uma cadeia de blocos, mantendo uma cópia do registro inteiro do histórico de transações e, essencialmente, aplicando as regras da rede através do código.

O problema foi inicialmente marcado no site GitHub. Os detalhes espalharam-se então nas mídias sociais, provocando um amplo comentário de apoiadores e críticos do projeto. Durante o ataque, a contagem de node de BU caiu para 252, de acordo com o site de dados de criptografia Coin.Dance.

Houve ao menos um outro problema com o software. Um mês atrás, um bug no Bitcoin Unlimited upgrade levou o pool de mineração Bitcoin.com a perder 13,2 Bitcoins quando criou um bloco que não foi aceito pela rede.

Como já dissemos, esta discussão é altamente técnica e complexa, entretanto, não há dúvida que estamos assistindo uma batalha política, de um lado, sem citar nomes, alguns players parecem querer obter mais poder na rede e investem tempo e dinheiro para convencer mineradores e outros player a suportar Bitcoin Unlimited. Do outro lado, player defendendo Bitcoin Core e contra o risco de terminarmos com duas Bitcoins, sem saber ao certo o destina de cada uma.

O preço de Bitcoin sofreu perdas de mais de 7% em valor na sexta-feira e mais de US $ 2 bilhões no valor de mercado nas últimas 48 horas. O preço da Bitcoin caiu abaixo de US $ 1100 pela primeira vez em quase um mês.

Um grupo de quase 20 exchanges lançou planos de contingência no caso de a rede Bitcoin se dividir em dois, criando duas moedas concorrentes. Aparentemente, as empresas mais poderosas na comunidade Bitcoin estão reconhecendo que um “Hard Fork” pode ser inevitável. Sua declaração certamente atordoou o mercado de investimento. Muitas das principais exchanges Bitcoin do mundo, incluindo Bitfinex, Shapeshift, BTCC, Kraken, Bitstamp e dez outros lançaram uma declaração detalhando seus planos de contingência se o Bitcoin Unlimited fork contra o Bitcoin for lançado. Aqui está um trecho da declaração (você pode ver em sua totalidade aqui):

“Se uma “Hard Fork” (bifurcação) contenciosa ocorrer, a implementação do Bitcoin Core continuará a ser listada como BTC (ou XBT) e a nova como BTU (ou XBU), mas não sem proteção de repetição adequada (“Replay Attack”). Fazemos isso não por julgamento ou por razões filosóficas, mas sim por considerações práticas e operacionais”

Em resposta, nesta segunda-feira, a equipe de desenvolvimento de software Bitcoin Unlimited declarou à CoinDesk que está encorajando trocas Bitcoin para listar qualquer blockchain é apoiado pela maior prova de trabalho como ‘BTC’ Designação comum para Bitcoin.

“Nós, da Bitcoin Unlimited, estamos promovendo … as melhorias nas qualidades anti-fragilidade da Bitcoin através de uma maior descentralização, um aspecto disso é a remoção do planejamento central da economia de tamanho de bloco”, diz a declaração. E continua:

“No caso improvável de uma divisão blockchain, não estamos muito preocupados com o que as exchanges decidem listar os dois tickers como em termos de nome, no entanto, aconselhamos fortemente que as trocas observem o Consenso de Nakamoto: a cadeia com mais prova de trabalho é a Bitcoin unidade monetária (atualmente conhecida como BTC ou XBT) .Estamos encorajados que os exchanges estejam bem preparadas para o evento de uma divisão blockchain e que isso irá resultar no mercado decidir qual Bitcoin será o mais útil e, portanto, valioso no longo prazo .”

Não sabemos como será o fim dessa história, mas até lá, pode-se imaginar que os reflexos dessa “batalha” se traduza, entre outras coisas, em uma maior volatilidade dos preços de Bitcoin. Aos interessados, vale a pena acompanhar o site Coin Dance, que alem de mostrar como se dividem os apoiadores das duas alternativas, mantém atualizados diversos dados e estatísticas sobre Bitcoin.

Categorias
Amex Carteira Digital Cartões de Pagamento Empreendorismo MasterCard Meios de Pagamento Mobile Payments Segurança Startups Visa

Biometria simplificando payments

palma

Os meios de pagamento se tornam cada vez mais simples, fácil de utilizar, rápidos, seguros e mais baratos. Até aqui nenhuma novidade, certo?

Segurança e simplicidade nem sempre combinam muito bem, afinal o ato de autenticar o pagador é um dos processos que requer cuidados e nem sempre é simples.

Em uma transação de pagamento, independentemente do valor, há que estabelecer a confiança entre as partes afim de que o pagamento seja concluído. Assim, quando ofereço pagar com um cartão de crédito de uma bandeira conhecida, o recebedor, desde que seja credenciado à um acquirer, normalmente se sente confortável e seguro de receber o pagamento.

Entretanto, o que parece ser uma transação simples (e de fato é, se compararmos com outras formas de pagamento) envolve uma série de processos de comunicação, processamento e logística, além de requerer um terminal de captura, um cartão de pagamento, uma senha, etc.

Que tal eliminar o cartão e utilizar outro tipo de terminal de captura? Deixe sua carteira em casa! Este é o convite da Keyo, uma FinTech de pagamento que vê o futuro na palma de sua mão.

Utilizando biometrica como forma de autenticar e acessar a carteira eletrônica do pagador, a Keyo testa em algumas lojas na cidade de Chicago. O vídeo é autoexplicativo! Mas se trata de uma plataforma de pagamento biométrica que mapeia o padrão de vasos sanguíneos da palma da sua mão para criar um identificador biométrico exclusivo conectado ao seu cartão de crédito ou cartão de débito.

Veja a matéria de Karis Hustad no ChicagoInno.

Categorias
Carteira Digital Cartões de Pagamento Data Breach Fraude Meios de Pagamento Segurança

Fraude de identidade

fraude

O estudo sobre fraude de identidade nos Estado Unidos da América, divulgado por Javelin Strategy & Research, em Fevereiro de 2017, revelou que o número de vítimas de fraude de identidade aumentou em 16%, atingindo um total de 15,4 milhões de consumidores no ano passado. O estudo descobriu que, apesar dos esforços da indústria, os fraudadores adaptaram-se com sucesso. O estudo aponta um aumento no montante de fraude de quase um bilhões de dólares sobre 2015, atingindo um total de US $ 16 bilhões em 2016.

Assim como aconteceu no Brasil, o aumento de cartões com chip e terminais EMV no mercado note americano, foi um catalisador para conduzir os fraudadores a mudar para a abertura de contas falsas, assim como um aumento de 40% na fraude com cartão-não-presente (e-commerce). Em uma nota positiva, enquanto fraudadores estão se tornando melhores em evadir a detecção, os consumidores com uma presença on-line estão ficando melhores na detecção de fraude mais rápido, levando a uma redução global de roubo por tentativa.

O estudo de fraude de identidade de 2017 encontrou quatro tendências significativas:

  • A fraude salta para um recorde de incidência – Em 2016, 6,15% dos consumidores tornaram-se vítimas de fraude de identidade, um aumento de mais de 2 milhões de vítimas sobre ano anterior. A taxa de incidência cresceu 16% sobre 2015, a incidência mais elevada desde que Javelin começou a seguir a fraude da identidade. Este aumento foi impulsionado pelo crescimento da fraude de cartão existente, assim como viu um aumento significativo nas transações de cartão-não-presente.
  • A fraude com cartão-não-presente sobe significativamente – Impulsionada pela implantação de chip EMV no ponto de venda e pelo crescimento do comércio eletrônico, os fraudadores estão se movendo cada vez mais on-line, aumentando dramaticamente as fraudes com cartão-não-presente em 40% .
  • Controle (takeover) de contas existentes voltou a crescer – Após atingir um ponto baixo em 2014, tanto a incidência de controle de conta e as perdas subiram notavelmente em 2016. Total de perdas atingiu US $ 2,3 bilhões, um aumento de 61% sobre 2015, enquanto a incidência subiu 31%. O controle de contas continua a ser um dos tipos de fraude mais desafiadores para os consumidores, com vítimas pagando uma média de US $ 263 em custos e gastando um total de 20,7 milhões de horas para resolvê-lo em 2016 – 6 milhões a mais que em 2015.
  • A fraude de novas contas continua inalterada – À medida que os cartões e terminais EMV continuam permeando o ambiente de POS dos EUA, os fraudadores mudam para a abertura de contas fraudulenta. Ao mesmo tempo, os fraudadores tornaram-se melhores em fugir à detecção, sendo que as vítimas da fraude de novas contas foram mais propensas a descobrir fraudes através da revisão de seu relatório de crédito (15%) ou quando foram contatadas por um cobrador de dívidas (13%).